SOC Infosecurity повысил уровень защищенности ПАО «ГТЛК» в период пандемии

Задача

Необходимость построения гибридного SOC была связана с рядом задач, касающихся стратегии развития информационной безопасности ПАО «ГТЛК». В рамках данной стратегии перед специалистами управления информационной безопасностью ГТЛК стояла задача в максимально кратчайшие сроки укрепить защиту критичных бизнес-процессов организации и обеспечить комплексную защиту данных при стремительно растущей филиальной сети. Также важным направлением работы стало обеспечение соответствия требованиям 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" и cистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ ГосСОПКА.

Решение

Решение было принято в пользу гибридного SOC компании Infosecurity, когда обработка событий и выявление инцидентов происходит на мощностях заказчика, а управление осуществляется совместно с сервис-провайдером. Важной причиной выбора гибридного SOC стала необходимость выполнения требований 187-ФЗ, согласно которым организации, попадающие под действие закона, обязаны реализовать меры защиты объектов критической информационной инфраструктуры и сообщать уполномоченному органу об инцидентах информационной безопасности в их инфраструктуре.

В рамках проекта были усовершенствованы процессы сбора событий с серверов и рабочих станций. Все системы были переведены на механизмы Windows Event Forwarding, что позволило существенно оптимизировать сбор журналов с разных источников и сократить время на просмотр событий. Также в рамках сбора событий с операционных систем Linux и активного сетевого оборудования были созданы сборщики событий и централизованного направления их на корреляцию в МахPatrol SIEM.

Дополнительно команда Infosecurity провела серию пентестов и выявила критичные и слабо защищённые места инфраструктуры ГТЛК, защита которых была усовершенствована в рамках проекта. По результатам тестирования на проникновение были сформированы новые сценарии реагирования и новые контроли, что позволило повысить скорость ответа на инциденты информационной безопасности.

Результат

Благодаря SOC компания ГТЛК теперь получает информацию со всех своих филиалов централизованно. Собирать данные и реагировать на инциденты информационной безопасности стало удобнее, увеличилась скорость процессов обработки событий.

После подключения ГТЛК к SOC общий уровень защищенности транспортной компании существенно повысился, в том числе благодаря слаженной работе команд со стороны заказчика и исполнителя. На сегодняшний день в ГТЛК существуют свои дашборды для централизованного вывода информации о текущей обстановке в ИТ-инфраструктуре. Это позволяет сотрудникам ИБ-подразделений оперативно принимать решения по реагированию на инциденты информационной безопасности в период рабочего времени. В остальное время осуществлять мониторинг и реагирование на инциденты ИБ в ГТЛК помогает команда SOC Infosecurity.

В период пандемии сотрудников транспортной компании удалось оперативно перевести на дистанционный режим работы без влияния на текущие бизнес-процессы, снизить риск утечек конфиденциальных данных и наступления других негативных последствий от перехода персонала к «домашнему» офису. Также удалось удовлетворить требования регуляторов сферы информационной безопасности — обеспечить соответствие требованиям 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» и cистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ ГосСОПКА.